报告迈克菲威胁报告： 2009年第二季度

　　《迈克菲威胁报告》为您提供了有关基于电子邮件和Web的威胁的最新统计和分析信息。此报告由McAfee Avert Labs的研究人员编写，每季度发布一次。McAfee Avert Labs研究人员遍布世界各地，他们以独特的视角分析当前存在的威胁，这些威胁可能来自美国乃至世界各地，并将影响个人及企业用户。我们将分析过去三个月中出现的主要安全问题，请立即加入我们吧。看完本报告后，您可以在迈克菲威胁中心查找更多信息。您还会找到第一季度的威胁报告。

　　我们发现，2009年第二季度的垃圾邮件制造量不但从先前的下降趋势之中快速恢复，而且达到了历史最高水平。僵尸计算机(由垃圾邮件制造者控制并通过其发送邮件的计算机)的数量也创下历史新高。我们按国家/地区与主题对产出的垃圾邮件进行了细分。

　　在网络上，合法站点和恶意站点上的恶意软件仍在利用浏览器的漏洞。僵尸网络“捕获”并控制计算机以窃取数据和发送垃圾邮件。 Twitter已成为攻击者们热衷的攻击对象。它是目前社交网络工具中的宠儿，恶意软件作者十分清楚对其进行攻击的巨大潜力。您的这种全新的在线生活方式确实带来不小的问题，为此，“Twitter漏洞月”将如期举办。Twitter还在伊朗大选及其余波中扮演了“黑客活动分子”的角色。

　　在恶意软件方面，我们发现窃取密码的特洛伊木马程序增长迅速，它们的主要攻击目标是您的银行数据。这些程序简单、隐秘，而且比以前更容易生成。一些网站(主要位于俄罗斯)会提供特洛伊木马程序制作工具，即便是初级攻击者也可以通过购买这些工具来窃取数据。 AutoRun恶意软件也很容易创建，这要“归功”于那些免费提供的编译器和打包程序。

　　垃圾邮件发生反弹

　　如果经济形势能像第二季度的垃圾邮件那样反弹，我们的退休帐户将会更加令人欣慰。垃圾邮件自上一季度后开始发生反弹，其数量激增近 80%。上季度的垃圾邮件与之前季度相比发生了大幅下降，其主要原因是 McColo ISP的关闭。但是，本季度垃圾邮件增长迅猛，已经达到了历史最高水平。我们的监测数据显示， 2008年第2季度垃圾邮件的增长曾创下最高纪录，然而，本季度的增长已超过其10%。在《七月垃圾邮件报告》中，我们曾指出第一季度新出现的僵尸计算机将成为未来走势的先行指标;这一预测现已得到证实。

　　需要特别提到的是垃圾邮件在六月中的活动。六月份制造的垃圾邮件数量又创历史新高，超过之前高点2008年10月20%以上。

　　垃圾邮件在邮件总数中所占的比重也在本季度创下纪录，我们估计所占比例高达 92%，超过了去年二、三季度的最高纪录91%。

　　或许，垃圾邮件是经济的“先行指标”，我们很快就会走出困境，迎来下一个春天。希望这种美好的愿望成为现实，然而，我们可以确定的是垃圾邮件已经卷土重来，而且来势汹涌。

　　图 1: 全球垃圾邮件数量及其占邮件总量的比重

　　新的僵尸计算机

　　我们在本季度发现了大约 1400万台新的僵尸计算机。这又是一项新的纪录，并且打破了上季度创下的纪录(在上季度大约出现了1200万台新的僵尸计算机)。这个数字意味着每天都会新增15万台僵尸计算机，而这些系统将有可能向您的计算机发送垃圾邮件和其他恶意内容。根据僵尸计算机当前的发展趋势，不难预测垃圾邮件的数量在下个季度还将持续增长。

　　图 2: 新的发送垃圾邮件的僵尸计算机(按月划分)

　　新的僵尸计算机(按国家/地区划分)

　　从按国家/地区划分的僵尸计算机分布情况来看，前10榜单仍然由一些“惯犯”构成。本季度唯一新加入这一集团的国家是意大利;然而，这并不是意大利首次出现在前10榜单中。

　　本季度，仅美国就制造了大约210万台新的僵尸计算机，比上季度增加了33%。而本季度韩国的僵尸计算机产量更创下了最高的季度增长率(高达45%)，为这一集团“贡献”了超过50万台新的僵尸计算机。

　　意大利的僵尸计算机产量在本季度也增长了将近一倍。虽然全球的僵尸计算机数量都在增加，但中国和俄罗斯(两个僵尸计算机制造大国)新增的僵尸计算机数量却有所下降。

　　图 3:新增僵尸计算机数量最多的前10个国家 /地区(按季度划分)。在攻击者的控制下，这些系统将向数百万电子邮件地址发送垃圾邮件。

　　垃圾邮件(按国家/地区划分)

　　相比上一季度，排名前 10位的国家/地区所制造的垃圾邮件占总量的百分比下降了5%，这表明越来越多的国家/地区加入了垃圾邮件制造的行列。但是，有65%的垃圾邮件仍然来自这10个国家/地区，从而使其在这一领域继续占据主导地位。

　　美国的垃圾邮件制造者可能正面临经济危机的考验。他们的垃圾邮件产量占总量的百分比由上一季度的35%回落到25%。但是，垃圾邮件的数量比上一季度增长了大约80%，因此美国制造的垃圾邮件数量比预计增长了25%左右。

　　巴西、土耳其和波兰的垃圾邮件所占的比重以及总产量均有明显增长下榜一个季度后，西班牙重新回到前10榜单。此外，我们还要“欢迎”捷克共和国加入这个不太光彩的行列。

　　图4: 仅仅十个国家的垃圾邮件产量便占到了全球垃圾邮件总量的65%左右。

　　垃圾邮件(按主题划分)

　　您当地的药剂师一定异常忙碌，因为处方药垃圾邮件本季度增长迅猛，占到了我们传感器所收集到的垃圾邮件总量的60%。

　　图5:按类型划分的电子邮件。一直很流行的处方药垃圾邮件本季度增长了一倍以上，占我们监测到的垃圾邮件总量的60%。

　　图6:这家“药店”发送了当今的大部分垃圾邮件。

　　我们当今所见的大部分垃圾邮件均宣称来自于一家加拿大药店。此网站通常链接到已于中国注册机构注册的中国或俄罗斯URL。此类垃圾邮件有一个显著特点，即它宣称是经收件人请求才进行发送或是由朋友发送的(通常来自新闻稿或邮寄列表)。这种类型的垃圾邮件及其所有衍生的垃圾邮件占到了当前常见垃圾邮件总量的60%。虽然也存在许多其他的垃圾邮件活动，但如果未安装适当的垃圾邮件过滤器，处方药垃圾邮件将是最令人头痛的一种垃圾邮件。

　　Web攻击改变了目标

　　上个季度，我们看到许多关于浏览器漏洞利用的新闻报道，这主要“归功”于Conficker蠕虫。但是在本季度，关注的焦点似乎又回到了网站攻击上面。您可以在下面的图7中看到这种转变，该图显示了每日发现的利用浏览器漏洞的新网页数量。

　　在本季度，很多合法网站遭到了攻击，其中许多攻击都使用标准SQL注入和密码窃取来获取访问权限。攻击者通常会插入经过掩饰的脚本，以便将用户重定向至恶意域或恶意域集，然后尝试引诱用户安装载荷或在用户的Web浏览工具集中寻找未修补的漏洞。

　　图7:每天发现的利用浏览器漏洞的网页

　　一些攻击受到了媒体的关注，其中包括四月末首次出现、五月末达到高峰的Gumblar攻击。此后又出现了Martuz和Beladen攻击。媒体也对成千上万合法网站受到感染的情况进行了大肆宣扬。不论实际数量有多少，这些攻击无非是将用户重定向到我们早已发现的那些提供主要恶意软件的站点。有趣的是，这些恶意域在被关闭很久以后，却继续高居Google恶意域搜索结果排行榜的榜首。其持久的生命力恰恰折射出，许多合法Web服务器发现这些攻击并消除其危害所花费的漫长时间。

　　Gumblar也让我们看到，这些恶意网站、服务器和网址如何被各种活动频繁地重复使用。在监视和跟踪Gumblar时，我们还发现了数个与此攻击相关联的域。我们在此攻击中发现的71%的域已经受到关注，并且已在其他攻击中使用。而另外13%的域在用于当前攻击之前，已经“赢得”了我们的“TrustSource恶意网站信誉”。(“TrustedSource恶意网站信誉”标签基于可辨别网站是否存在潜在危害的高级行为分析。)

　　图8: 按类型划分的Gumblar站点

　　本季度的整体Web威胁情况如何?抛开四月份引起媒体大量关注的Conficker影响不谈，我们可以看到，相比上一季度，具有恶意网站信誉的URL的增长速度略有下降。恶意域的演变是导致这种下降的原因之一。以前，我们往往能够在许多恶意域注册时立即将其识别并采取相应的保护措施。现在，这种方式在多数情况下依然奏效，尽管我们发现恶意域用来注册的方法以及它们与之关联的站点都有了新的趋势。随着网络犯罪分子不断适应跟踪和检测托管服务的安全技术以及这些技术所支持的活动类型，攻击者开始采用新的方式来隐藏自己。这导致我们可以根据注册情况识别出的恶意域的数量有所下降。然而，本季度出现的峰值均与可通过域注册方法和其他预测指标轻松识别的恶意域相关;由此可见，我们所使用的传统关联方法仍然十分有效。

　　图9:每天报告的新增恶意网站

　　恶意Web服务器的位置并未发生明显的改变。(请参见下面的图10。)但是，当我们将注意力从单个服务器转移到这些服务器所托管的域和URL时，地理视角将发生转变。(请参见下面的图11。)图中出现了一些新的国家，包括澳大利亚和巴哈马。巴哈马的每台恶意Web服务器平均产生1482个恶意URL。本季度，我们加大了对位于中美洲和加勒比海地区的恶意服务器的调查力度。

　　图10: 恶意Web服务器的分布。

　　图11:恶意URL总量的分布

　　来自您身边的威胁

　　另外一种Web威胁来自保护不足的家庭计算机。这些系统可能被感染并受外部人员的控制，他们将其作为“雇佣的僵尸网络”的一部分，用来发送垃圾邮件，窃取家庭用户的信息等等。我们还发现，家庭用户设置了各种远程访问服务、匿名工具和类似的服务，以便从包括企业网络在内的任何位置访问其家庭计算机。在本季度我们关注了驻留在这些系统上的网站。我们排除了所有未托管活动、广告网站的家庭计算机。在托管活动站点的计算机中，我们发现大多数计算机正在为垃圾邮件 URL提供服务，对此我们并不感到意外。

　　图12: 基于家庭计算机的网站(按用途划分)

　　恶意软件和潜在有害程序

　　图13:每天新增的提供恶意软件和潜在有害程序的网站

　　除了围绕Conficker的争论之外，本季度获得“恶意网站信誉”标签的网站数量与上季度相比略有下降。但本季度的结束阶段却并不平静。在最后几周内，我们发现SQL和iframe注入、搜索引擎优化、下载器、欺骗程序、恶意防病毒(Anti-virus, AV)软件等攻击异常活跃。例如，迈克尔·杰克逊去世后，与新闻相关的垃圾邮件和恶意软件数量均有所增长。攻击者立即利用搜索引擎的优势，试图将用户重定向至恶意的AV网站或受感染的Flash视频。此外，这些服务器还通过搜索可成功感染访问者的攻击，扩大了攻击的范围。

　　通过从Web服务器下载的恶意软件和潜在有害程序(Potentially Unwanted Programs, PUP)的类型，我们可以看出，在程序流行程度方面本季度与上季度区别不大。一般PUP占据了通过web下载的程序的很大一部分。

　　图14: 恶意软件和PUP下载流行程度(按类型划分)